Все мы так или иначе понимаем, что экосистема Android не имеет ничего общего с безопасностью. Увы, но это факт.

Изначально Android разрабатывался как ОС, которая должна захватить огромный рынок смартфонов. Коммерческая цель проста и понятна. Apple заблокировала все ваши желания на iPhone, и вы будете делать только то, что они хотят, в случае Microsoft вы не более чем просто заказчик и только с Android вы обретете полную свободу творчества. Работая с открытым кодом Android можно адаптировать код к своим аппаратным средствам, и теоретически OEM-производители и поставщики услуг могут изменить что угодно и как угодно.

На сегодняшний день доля Android составляет приблизительно 75-80% рынка смартфонов, и это не только самая популярная мобильная операционная система, но, возможно, и просто самая популярная ОС. Вместе с тем огромной проблемой стала ее безопасность. Увы, но на сегодня основным краеугольным камнем безопасности данной ОС становятся обновления. Слишком много поставщиков смартфонов, которые могут как угодно изменять ОС для своих нужд. Google выпускает Android для ОЕМ, которые в свою очередь могут вносить свои изменения и выпускать уже свои версии Android для поставщиков услуг. Поставщики услуг привносят свои приложения и поставляют их потребителям. Это продолжается уже длительное время и пока признаков перемен не видно.

Возьмем для примера реакцию производителей Android-устройств на уязвимость штатного модуля Stagefright. Сегодня около 95% устройств на Android подвержены удаленному выполнению произвольного кода. Google, Samsung и LG — все обязались относиться к безопасности серьезно и выпустить обновления как можно скорее. Однако давайте посмотрим правде в глаза. Они собираются выпустить обновления для... 2,6% (!) всех активных устройств Android. Это те устройства, на которых установлена Android 5.1. А остальные? Заметим, что 2,6% — это весьма оптимистично. На самом деле число устройств, которые получат патч, будет значительно ниже.

Стоит помнить, что сегодня поставщики услуг хотят как можно чаще рекламировать себя, выпускать все новые и новые модели смартфонов и планшетов, но никто не хочет брать на себя ответственность за нерентабельную послепродажную поддержку миллионов устройств.

Что делать? Менять модель Android — она должна больше походить на модель обновления Windows.

С точки зрения обновления Windows наиболее близка к Android с точки зрения аппаратного разнообразия, широкой поддержки ОЕМ. Поскольку поддержка аппаратных средства отделена от ОС, у Microsoft есть единственный код для каждой версии ОС и система обновлений. Безусловно, закрытый подход никогда не будет работать в системе обновлений Android, но все же это позволит как-то упорядочить подход к безопасности.

Суровая реальность Android заключается в том, что ОЕМ и поставщики услуг беспокоятся только о тех устройствах, которые в данный момент продаются. Если же говорить о подходе Microsoft, то нужно вспомнить, что сегодня выпускаются обновления к Windows Vista, выпущенной семь лет назад.

Слабая ориентация Google на безопасность приведет к тому что несмотря на все попытки продвинуть смартфоны Android на корпоративный рынок, этот процесс будет весьма затруднен. И компаниям, и пользователям нужно понимать, что каждые два года при существующем положении вещей они будут вынуждены покупать все более и более новые аппаратные средства.

Увы, необходимо понимать, что при существующей системе обновлений Android устройства на этой платформе всегда будут иметь проблемы с безопасностью.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.